Cisco выпустила обновления программного обеспечения для устранения критической уязвимости безопасности, влияющей на Unity Connection, которая может позволить злоумышленнику выполнять произвольные команды в базовой системе.
Отслеживаемая как CVE-2024-20272 (оценка CVSS: 7.3), уязвимость представляет собой ошибку произвольной загрузки файла, находящуюся в веб-интерфейсе управления и являющуюся результатом отсутствия аутентификации в определенном API и неправильной проверки предоставленных пользователем данных.
"Злоумышленник может воспользоваться этой уязвимостью, загрузив произвольные файлы в уязвимую систему", - сказала Cisco в рекомендации, опубликованной в среду. "Успешный эксплойт может позволить злоумышленнику хранить вредоносные файлы в системе, выполнять произвольные команды в операционной системе и повышать привилегии до root".
Ошибка затрагивает следующие версии Cisco Unity Connection. Версия 15 не является уязвимой.
Наряду с исправлением для CVE-2024-20272, Cisco также поставила обновления для устранения 11 уязвимостей средней степени тяжести, охватывающих ее программное обеспечение, включая движок служб идентификации, беспроводную точку доступа WAP371, корпоративный агент ThousandEyes и пакет управления телеприсутствием (TMS).
Cisco, однако, отметила, что не намерена выпускать исправление ошибки внедрения команд в WAP371 (CVE-2024-20287, оценка CVSS: 6.5), заявив, что срок службы устройства истек (EoL) по состоянию на июнь 2019 года. Вместо этого она рекомендует клиентам перейти на точку доступа Cisco Business 240AC.
Отслеживаемая как CVE-2024-20272 (оценка CVSS: 7.3), уязвимость представляет собой ошибку произвольной загрузки файла, находящуюся в веб-интерфейсе управления и являющуюся результатом отсутствия аутентификации в определенном API и неправильной проверки предоставленных пользователем данных.
"Злоумышленник может воспользоваться этой уязвимостью, загрузив произвольные файлы в уязвимую систему", - сказала Cisco в рекомендации, опубликованной в среду. "Успешный эксплойт может позволить злоумышленнику хранить вредоносные файлы в системе, выполнять произвольные команды в операционной системе и повышать привилегии до root".
Ошибка затрагивает следующие версии Cisco Unity Connection. Версия 15 не является уязвимой.
- 12.5 и более ранние версии (Исправлено в версии 12.5.1.19017-4)
- 14 (Исправлено в версии 14.0.1.14006-5)
Наряду с исправлением для CVE-2024-20272, Cisco также поставила обновления для устранения 11 уязвимостей средней степени тяжести, охватывающих ее программное обеспечение, включая движок служб идентификации, беспроводную точку доступа WAP371, корпоративный агент ThousandEyes и пакет управления телеприсутствием (TMS).
Cisco, однако, отметила, что не намерена выпускать исправление ошибки внедрения команд в WAP371 (CVE-2024-20287, оценка CVSS: 6.5), заявив, что срок службы устройства истек (EoL) по состоянию на июнь 2019 года. Вместо этого она рекомендует клиентам перейти на точку доступа Cisco Business 240AC.
